当前位置:w88优德官网网文章中心网站运营建站经验 → 实践有效的网站防SQL注入方法(二)

实践有效的网站防SQL注入方法(二)

减小字体 增大字体 作者:admin  来源:www.hack50.com  发布时间:2012-11-16 7:54:50
  姊妹篇“《实践有效的网站防SQL注入(一)》”跟大家交流了防止sql注入的黄金方法,从开发入手,在两个层次解决,我想如果大家按照介绍的步骤都能够做到,我想大家应该能够做到很好的防御效果。但我们说,没有100%的安全,网站的微小功能变动或升级都可能会对全局造成影响,这也就是为什么eesafe网站安全联盟收录的网站还是有部分存在注入漏洞,那么如何随时关注网站是否存在这样的安全问题?这就需要我们说的发掘,了解和掌握如何发掘像sql注入这样的网站漏洞。  
imagesCARXWX38.jpg
  不管你的网站采用的是什么构架,php+mysql或jsp+oracle等等,其实际注入发掘的步骤基本是统一的,都有很大的相似性。我简单介绍一下eesafe在帮助网站挖掘注入的基本方法。  1、判断脚本系统(也就是判断网站使用的是asp,php,jsp等)。  2、发现注入点,扫描注入漏洞(根据不同的脚本系统选择合适的扫描注入方式)。  3、特殊注入点的判断(有时候注入点的脚本系统过滤了一些特殊字符,这时候就需要做转移注入判断测试)。  4、判断数据库类型。(利用数据库的系统变量、系统表判断数据类型确定数据库是MSSQL,MYSQL还是ORACLE)  5、判断数据库中的表结构(判断数据库名称,库中表名称,表中字段名,表中数据)。  6、判断数据库表中字段的结构(使用猜解方式或读取方式判断表中字段结构)  7、构造注入语句进行注入(构造特定注入语句获取重要数据,如尝试管理员账户或密码)  这六部大致上就是一般的发掘步骤,在实际操作过程中可能会根据情况不同有细微的变化。最后,将通过6部验证的注入点提供给请求帮助的网站,供修补注入漏洞。大家可以将我们使用的挖掘注入的流程应用到自己的网站上做一个全面sql注入点发掘,当然,大家也可以用eesafe网站安全联盟提供的在线检测工具。希望这篇和上篇“《实践有效的网站防SQL注入(一)》”能给大家带来帮助。  
02_i254j.gif
  原创文章,纯手打,转载请注明版权归属:EeSafe网站安全联盟  转载请以链接形式注明原文地址:EeSafe网络安全论坛http://www.eesafe.com/bbs/thread-383-1-1.html

本文引用网址:
在下列搜索引擎中搜索“实践有效的网站防SQL注入方法(二)”的相关信息:
谷歌搜索 百度搜索 雅虎搜索 搜狗搜索 搜搜搜索 必应搜索 有道搜索
你可能还喜欢以下文章
  • 1如何做爱真人示范图片 男女ML常...
  • 2如何做爱更舒服?教你做爱72式...
  • 3合肥艳照门QQ空间曝光男主角与...
  • 4实拍90后女孩拉客100元带套20分...
  • 5怎么做爱舒服?真人示范做爱姿...
  • 1搜索引擎优化内部比外部更重要...
  • 2如何做SEO才能让百度喜欢?
  • 3网络红人如何赚钱?我要成为网...
  • 4如何搭建第一个网站?做网站有...
  • 5做到六点 轻轻松松做好网站安...
  • 1中国女大学生的淫靡生活
  • 2合肥艳照门事件 合肥艳照门全套...
  • 3舒淇艳照门事件 舒淇不雅照ed2...
  • 4嫩白少妇与猛男户外疯狂车震遭...
  • 5情侣酒店激情性爱 上演限制级影...
  • 1资深网管教你彻底揪出系统启动...
  • 2如何做服务器安全维护?有哪些...
  • 3Access数据库安全攻防策略
  • 4保卫我的网络银行 如何防范网络...
  • 5Word 2007 beta2中又挖出两个彩...
  • 赞助商广告

    图片文章导读